Mi stavo interrogando sulla sicurezza dei codici TOTP.
Esiste una sicurezza crittografica attorno al segreto per impedire a un utente di indovinare il segreto dopo aver catturato una varietà di codici TOTP. Ad esempio:
L'attaccante annusa le credenziali su una rete di obiettivi in cui SSO è su HTTP utilizzando User: Pwd: TOTP. Dopo un po 'di tempo l'attaccante può fare un'ipotesi ragionevole su quale sia il segreto del TOTP osservando quali segreti producono ciascun codice TOTP e restringendo i risultati?